Cookiebeleid opstellen

Wat is het verschil tussen een cookiebeleid en privacybeleid? En het verschil tussen een privacyverklaring en een cookieverklaring? En hoe stel je ze op?

Een Cookiebeleid opstellen leggen we je aan de hand van onderstaande voorbeeld en ervaringen uit. Zo leer je het verschil tussen een privacyverklaring en cookieverklaring. Ook krijgen we vaak de vraag of de privacyverklaring afdoende is in relatie tot het cookiebeleid. We zien dat de termen door elkaar gebruikt worden en dat zorgt voor onnodige werkzaamheden.

Privacyverklaring

Een privacyverklaring of een privacybeleid?

Is een privacyverklaring verplicht?

Privacyverklaring voorbeeld, opstellen en checklist

Privacybeleid

Wat is een privacybeleid?

Privacybeleid niet verplicht maar…

Privacybeleid AVG opstellen – checklist

Cookiebeleid

Een cookiebeleid of een cookieverklaring?

Cookieverklaring voorbeeld

Een privacyverklaring of een privacybeleid?

Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 staat op veel websites van organisaties een verwijzing of een link naar hun privacyverklaring dan wel hun privacybeleid, of in de Engelse benaming: ‘privacy statement’ of ‘privacy policy’. Wat wordt nu precies met deze termen bedoeld onder de AVG?

Privacyverklaring en privacybeleid worden niet expliciet genoemd in de AVG. Maar de Autoriteit Persoonsgegevens (AP) maakt wel duidelijk onderscheid tussen deze twee termen.

In het kort is het verschil:

  • Een privacyverklaring is gericht aan betrokkenen (degenen wiens persoonsgegevens worden verwerkt, ofwel je website bezoeker).
  • Een privacybeleid is bedoeld als handleiding voor medewerkers in de organisatie die met persoonsgegevens werken.

Is een privacyverklaring verplicht?

De Autoriteit Persoonsgegevens gebruikt de term privacyverklaring in het kader van de informatieplicht (artikel 12-14 AVG). Persoonsgegevens mogen alleen van een persoon (de betrokkene) worden verwerkt wanneer transparant is wat er met deze persoonsgegevens gebeurt (transparantiebeginsel).

Dit betekent volgens artikel 12-14 AVG dat de verwerkingsverantwoordelijke (de organisatie) verplicht is informatie te verschaffen aan betrokkenen over de gegevensverwerking. Hoewel voor deze informatieplicht geen vormvereiste is voorgeschreven, informeer je als verwerkingsverantwoordelijke (organisatie) de betrokkene (je website bezoeker) doorgaans via een privacyverklaring. Daarmee is een privacyverklaring verplicht als je aan gegevensverwerking doet.

Hieronder een voorbeeld privacyverklaring van Cookieinfo, met daaronder een checklist waar je rekening mee dient te houden als je een privacyverklaring opstelt.

Privacyverklaring voorbeeld CookieInfo
Privacyverklaring voorbeeld CookieInfo

Privacyverklaring voorbeeld, opstellen en checklist

Voor de privacyverklaring op je website kun je de volgende punten als voorbeeld nemen:

  1. De identiteit en de contactgegevens van de verwerkingsverantwoordelijke;
    Vermeld ☐ Niet vermeld ☐
  2. Indien van toepassing; de contactgegevens van de  Functionaris gegevensbescherming (FG);
    Vermeld ☐ Niet vermeld ☐
  3. De verwerkingsdoeleinden en de rechtsgronden;
    Vermeld ☐ Niet vermeld ☐
  4. De gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6 lid 1, punt f AVG, is gebaseerd;
    Vermeld ☐ Niet vermeld ☐
  5. Indien van toepassing; de ontvangers of categorieën van ontvangers van de persoonsgegevens (dit zijn personen of organisaties aan wie de verwerkingsverantwoordelijke persoonsgegevens verstrekt, bijvoorbeeld een salarisadministratiekantoor, belastingdienst, clouddienst, etc.);
    Vermeld ☐ Niet vermeld ☐
  6. Indien van toepassing; dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie (zo ja, welke aanvullende maatregelen zijn getroffen);
    Vermeld ☐ Niet vermeld ☐
  7. De bewaartermijn van de persoonsgegevens, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;
    Vermeld ☐ Niet vermeld ☐
  8. Informatie omtrent de rechten van betrokkenen;
    Vermeld ☐ Niet vermeld ☐
  9. Wanneer de verwerking op toestemming is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken;
    Vermeld ☐ Niet vermeld ☐
  10. Dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
    Vermeld ☐ Niet vermeld ☐
  11. Of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
    Vermeld ☐ Niet vermeld ☐
  12. Het bestaan van geautomatiseerde besluitvorming, en indien dit bestaat; nuttige informatie over de onderliggende logica, het belang en de verwachte gevolgen van die verwerking voor de betrokkene;
    Vermeld ☐ Niet vermeld ☐
  13. Alle overige informatie welke benodigd is om een transparantie verwerking te waarborgen (dit dient verwerkingsverantwoordelijke zelf vast te stellen).

Even belangrijk als de feitelijke inhoud van de privacyverklaring is dat de informatie duidelijk is (geen vage termen) en te onderscheiden moet zijn van andere niet-privacy gerelateerde informatie (zoals contractbepalingen of algemene gebruiksvoorwaarden). De informatie moet begrijpelijk zijn voor een gemiddeld persoon uit de doelgroep (bijvoorbeeld het verschil tussen kinderen en beroepsprofessionals) en makkelijk vindbaar zijn. Hieraan voldoe je door een privacyverklaring op te nemen in je website, vaak in de footer, en hiernaar te verwijzen.

Een voorbeeld van een privacyverklaring kun je bekijken door te klikken in de footer van de CookieInfo website.

Wat is een privacybeleid?

De Autoriteit Persoonsgegevens gebruikt de term privacy beleid in het kader van artikel 24 AVG. Op grond van dit artikel is een verwerkingsverantwoordelijke verplicht maatregelen te treffen om aan te tonen dat wordt voldaan aan elk van de beginselen en vereisten zoals uiteengezet in de AVG: de zogenoemde ‘verantwoordingsplicht’ (accountability).

Uit dit artikel volgt dat voor het in kaart brengen van de genomen maatregelen, de verwerkingsverantwoordelijke in bepaalde gevallen verplicht is om een gegevensbeschermingsbeleid, oftewel een privacybeleid op te stellen. Dit is in feite een nadere uitwerking van de verantwoordingsplicht.

De verwerkingsverantwoordelijke is verplicht een privacybeleid op te stellen als dat in verhouding staat tot de verwerkingsactiviteiten. Hierbij hou je rekening met de aard, de omvang, de context en het doel van de gegevensverwerking.

Privacybeleid niet verplicht, maar…

Ook al is de verwerkingsverantwoordelijke niet verplicht om een privacybeleid te hebben, is het toch aan te raden om een privacybeleid op te stellen om te voldoen aan de verantwoordingsplicht.

Zo toon je als organisatie aan dat je voldoet aan de AVG.

Bovendien maakt een privacybeleid het mogelijk dat elke medewerker zijn of haar verantwoordelijkheid kent bij het verwerken van persoonsgegevens en erop attent is conform de vereisten van de AVG te werken. Het vermindert daarmee risico’s, zoals bijvoorbeeld een datalek.

Anders dan de hiervoor besproken privacyverklaring, die gericht is aan betrokkenen (degenen wiens persoonsgegevens worden verwerkt), is een privacybeleid bedoeld als handleiding voor de medewerkers in de organisatie die met persoonsgegevens werken.

Advies Autoriteit Persoonsgegevens privacybeleid

De Autoriteit Persoonsgegevens adviseert het privacybeleid te publiceren om op die manier aan betrokkenen inzichtelijk te maken hoe de organisatie met persoonsgegevens omgaat. Maar of dat aan te raden is kun je afvragen. Een privacybeleid zal namelijk vaak ook bedrijfsgevoelige informatie bevatten. De betrokkenen worden immers via een privacyverklaring ten behoeve van de informatieplicht al geïnformeerd over de gegevensverwerking. 

Een tweede verschil in vergelijking met de privacyverklaring is dat de AVG niet precies aangeeft wat in een privacybeleid moet staan. Mocht je een privacybeleid willen opstellen, dan kun je onderstaande punten opnemen.

Privacybeleid AVG opstellen – checklist

Wanneer je een privacybeleid volgens AVG wilt opstellen kun je rekening houden met onderstaande punten.

  1. Een introductie waarin o.a. wordt aangegeven waarom voldoen aan de privacyregeling binnen de organisatie belangrijk is;
    Vermeld ☐ Niet vermeld ☐
  2. Het doel en het toepassingsbereik van het privacybeleid;
    Vermeld ☐ Niet vermeld ☐
  3. Uitleg van begrippen (bijvoorbeeld persoonsgegevens, datalekken, doorgiftemechanisme);
    Vermeld ☐ Niet vermeld ☐
  4. Wat zijn de uitgangspunten/beginselen van de AVG en hoe wordt daarmee rekening gehouden;
    Vermeld ☐ Niet vermeld ☐
  5. De door de AP in haar rapport genoemde drie ‘verplichte onderdelen’ van het gegevensbeschermingsbeleid (die overigens niet als zodanig staan vermeld in artikel 24 AVG):
    – Een omschrijving van de (categorieën van) persoonsgegevens;
    – Een beschrijving van de doeleinden van de gegevensverwerking;
    – Een beschrijving van de rechten van betrokkenen;

    Vermeld ☐ Niet vermeld ☐
  6. Een beschrijving van de functies en verantwoordelijkheden, bijvoorbeeld op basis van het RAS(C)I-matrix
    Vermeld ☐ Niet vermeld ☐
  7. Toezicht en handhaving (wie monitort het privacybeleid, wat zijn de consequenties bij niet-naleving van het beleid)
    Vermeld ☐ Niet vermeld ☐

In het privacybeleid kan vervolgens gerefereerd of direct gelinkt worden naar de verschillende gegevensbeschermings- en privacy beleidsstukken, (bijvoorbeeld het beleid voor de rechten van betrokkenen, het datalek-, bewaartermijnen- en beveiligingsbeleid) die zijn ontworpen om privacy en gegevensbescherming in een organisatie te borgen, zodat het privacybeleid document een compleet beeld geeft van het beleid van de verwerkingsverantwoordelijke voor het beschermen van persoonsgegevens.

Let op: Het niet voldoen aan de verantwoordingsplicht kan door de AP worden gesanctioneerd met een boete van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, in het geval deze hoger is.

Privacyverklaring en Privacybeleid het verschil en conclusie

Hoewel onder de AVG met de term privacyverklaring (privacy statement) in feite iets anders wordt bedoeld dan met de term privacybeleid (privacy policy), wordt in de praktijk het onderscheid tussen deze termen nog vaak met elkaar verward. In principe is dit geen ramp en niet fout, mits de verwerkingsverantwoordelijke maar op de juiste manier aan zijn informatieplicht (artikel 12-14 AVG) en verantwoordingsplicht (artikel 24 AVG) voldoet en niet bijvoorbeeld zijn privacybeleid ten behoeve van zijn verantwoordingsplicht op de website zet en daarmee denkt ook te hebben voldaan aan de informatieplicht aan betrokkenen.

Een cookiebeleid of een cookieverklaring?

Cookiebeleid opstellen en voorbeeld

Hoe je als organisatie wilt omgaan met cookies en trackers op je website, definieer je in een cookiebeleid. In je cookiebeleid maak je een afweging in het gebruik van 1st party en 3rd party cookies. Voor cookies en trackers die persoonlijk identificeerbare informatie kunnen achterhalen (of samenstellen) ga je een cookiebeleid definiëren. Dit beleid omvat onder andere: toestemming vragen (consent), registratie, cookie identificatie, doel van de cookies en trackers, impact op privacybeleid, etc.

We hebben hier meerdere blogs over geschreven, maar wellicht is de handleiding cookiebeleid interessant voor je? Je kunt deze hier aanvragen.handleiding cookiebeleid en checklist

Cookieverklaring voorbeeld

In een cookieverklaring neem je op welke cookies je website plaatst. Omdat de cookieverklaring veel informatie bevat, wordt deze doorgaans als losse pagina opgenomen in je website.

Je verwijst er dan naar vanuit je privacyverklaring. Hieronder tref je een voorbeeld cookieverklaring aan van CookieInfo.

30% cookies en trackers verandert maandelijks

Omdat 30% van de in gebruik zijnde cookies op je website maandelijks veranderen, is het wenselijk om een cookieverklaring te gebruiken die automatisch wordt opgesteld en wordt bijgehouden.

Voorbeeld cookieverklaring - CookieInfo
Voorbeeld cookieverklaring – CookieInfo

Dit wordt mogelijk gemaakt in combinatie met een cookie scanner. Deze identificeert alle aanwezige cookies en trackers in een website. Cookies worden ingedeeld in de juiste categorie (Noodzakelijk, functioneel, marketing, statistisch).

Deze indeling wordt vervolgens automatisch overgenomen en gepresenteerd in een cookieverklaring.

Dat scheelt een hoop tijd en voorkomt dat onjuiste cookies al geladen worden voordat er consent (toestemming) is gegeven voor het plaatsen van cookies.

Een cookieverklaring voorbeeld tref je aan in de footer van de CookieInfo website. Deze cookieverklaring is automatisch opgesteld.

Om alles een beetje overzichtelijk te houden op je website, kun je het beste naar jouw cookieverklaring linken vanuit de privacyverklaring. Beide bevatten veel tekst en zo is voor je website bezoeker het verschil gelijk duidelijk.

Onderstaande tekst hebben wij bijvoorbeeld opgenomen in onze privacyverklaring. Er wordt vervolgens gelinkt naar de automatisch opgestelde CookieInfo cookieverklaring.

“De website van CookieInfo maakt gebruik van cookies. We gebruiken cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over je gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die je aan ze hebt verstrekt of die ze hebben verzameld op basis van je gebruik van hun services.

Je kunt als bezoeker zelf bepalen hoe je met cookies wilt omgaan. Hier vindt je onze Cookieverklaring, daar kun je ook je toestemming aanpassen of intrekken.” Een voorbeeld van een cookieverklaring kun je bekijken in onze footer.

Wil je meer lezen over voorbeeld teksten die je kunt gebruiken voor je cookiemelding of cookieverklaring? Kijk dan ook even bij het artikel de beste tekst voor een cookiemelding.

De AVG en cookies

Wil je meer weten over de AVG en cookies? In onderstaande artikel lees je er meer over.

Artikel 1-4 over de definities van de in de verordening gebruikte termen,

Artikel 5-11 over het doel van de verordening,

Artikel 12-20 over de rechten van personen met betrekking tot privacy en gegevens,

Artikel 24-31 over de verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker,

Artikel 37-39 over de vereiste voor een functionaris voor gegevensbescherming,

Artikel 44-46 over de overdracht van gegevens uit de EU,

Artikel 82-83 over de boetes en straffen voor niet-naleving.

Wat is de avg?

Mocht je naar aanleiding van dit blog vragen hebben? We horen graag van je.

Team CookieInfo.

Disclaimer

De informatie in dit blog artikel rondom privacybeleid, privacyverklaring en cookieverklaring voorbeeld hebben we geschreven op basis van onze ervaringen. Het is geschreven om je te informeren, maar geen juridisch advies. Heb je vragen over je eigen cookiebeleid of cookieverklaring, neem dan contact op met een jurist of een van de CookieInfo juridische partners.

Probeer nu 14 dagen gratis Cookiebot

Cookie scanner, cookie banner, cookieverklaring en cookie toestemming in één.

  • Cookies op je website gebruiken volgens AVG, ePrivacy en cookie wetgeving
  • Cookiebeheer volledig geautomatiseerd
  • Cookie banner op basis van jouw huisstijl
  • Automatisch opgestelde cookieverklaring, altijd up to date
Probeer nu 14 dagen gratis CookiebotStart gratis proefperiode

De Cookiebot oplossing draait op 1.4 miljoen Websites, beheert 5.2 miljard maandelijkse User Consents en Ondersteunt 47+ talen.

Handleiding cookiebeleid

Handleiding cookiebeleid

De handleiding cookiebeleid neemt je mee in AVG wet en regelgeving rondom cookies en hoe je dit toepast op je website. Tevens krijg je inzicht in alles rondom cookie gebruik in je organisatie en hoe je dit kunt borgen.

Download

Recente blogs

Tags

, , , ,